數產署調查結果出爐！酷澎臺灣存在管理缺失將開罰

針對酷澎臺灣發收個資外泄事件，經數發部數產署行政檢查後，發現酷澎臺灣的個資管理存有缺失，後續將依《個人資料保護法》及《數位經濟相關產業個人資料檔案安全維護管理辦法》等相關規定裁處。（路透）

針對酷澎臺灣發收個資外泄事件，經數發部數產署行政檢查後，發現酷澎臺灣的個資管理存有缺失，後續將依《個人資料保護法》及《數位經濟相關產業個人資料檔案安全維護管理辦法》等相關規定裁處。

數產署表示，2025年11月酷澎韓國（Coupang Corp.）發生個資外泄事件，數產署第一時間即請酷澎臺灣說明，並確認臺灣用戶資料是否受到影響。當時酷澎臺灣回報並公開聲明，依據調查無證據顯示酷澎臺灣的消費者個資有外泄現象，並表示已委由第三方資安公司進行調查中，數產署即要求酷澎臺灣即時回報韓國或第三方之最新調查情形。

爲進一步釐清酷澎臺灣個資保護情形，數產署於2025年12月24日再次邀集法律、資安之專家學者，會同資安院，赴該公司進行實地個資行政檢查。酷澎臺灣仍表示第三方資安公司尚在調查中，並再度強調依當時調查尚無證據顯示有臺灣用戶受到影響。數產署再度要求酷澎臺灣以雙週爲頻率，回報韓國及第三方資安公司之調查進度，如涉臺灣用戶應於第一時間立即回報。

酷澎臺灣後續於2026年1月12日、26日及2月9日回報調查進度，均表示調查尚在進行中，仍無明確證據顯示臺灣用戶資料受影響。惟2026年2月10日，韓國科學技術情報通訊部發布酷澎韓國個資外泄調查結果顯示，攻擊者於2025年11月16日及25日兩次發送給酷澎韓國之電子郵件，聲稱「由於Coupang系統存在不難發現的漏洞，數十億條用戶隱私數據面臨外泄風險，韓國、日本、臺灣用戶皆受影響」，酷澎臺灣遂於2026年2月23日通報本事件，表示經第三方資安公司鑑識，已證實有臺灣用戶遭非法存取。

數產署於2026年2月25日上午邀集法律、資安專家學者、刑事警察局及資安院組成行政調查小組，赴酷澎臺灣進行實地個資行政檢查，經初步瞭解，攻擊者與酷澎韓國攻擊事件係爲同一人，爲酷澎韓國離職員工，並以持有備援金鑰得以僞造客戶登入驗證之相同手法，擷取酷澎臺灣之部分使用者資料。

依酷澎臺灣所提出之第三方資安公司鑑識報告顯示，攻擊者是透過2,000多個不同的IP網址，登入並接觸（Access）了20萬4,552名酷澎臺灣用戶的個資，包括姓名、電子郵件、電話號碼、配送地址，及部份訂單紀錄等。

依先前酷澎臺灣表示，臺灣與韓國的用戶資料庫有區隔，惟檢查結果發現，不同資料庫之備援金鑰系相同，爰可使用同一備援金鑰即可存取。

酷澎未刪除離職員工之權限及定期更換備援金鑰，爰離職員工仍可以原取得之備援金鑰進行資料庫存取。

後續數產署將依《個人資料保護法》及《數位經濟相關產業個人資料檔案安全維護管理辦法》等相關規定，持續對鑑識報告及各項情事進行查覈，並就調查事證結果，依法定程序辦理後續裁處事宜。